Blocking Traffic to network and blocking from http

For traffic to be coming through the http proxy, somebody must be making an outgoing call.
If you don't want packets through the proxy, disable it.

If you want some people to use the proxy and not others, create network group of the users, then in the proxy assign them to the network field. Then disable or remove the default rule and bingo only those you want go out.

Ian M [:)]

That is what I originally did, block packets using the rules and
also blocking the ip address and url using the HTTP proxy. But 
packets can still get through using the socks proxy.
So the problem that I see is that there is no way to block 
traffic to an IP or Network when that packet originates from the 
firewall itself.

Let us work though this slowly.

If you don't want any packets to go out via the filter rules, you don't put any rules in the packet filter menu.
If you want to block an IP address in the proxy put it in the black list for the profile you create below.
Create a user profile that forces that user to use that profile in the proxy
eg you great a user in network definitions.
you create a selected group of approved accesses in the coboin filter
you then create a new profile in the proxy with the user as the network and bingo they don't get through.
Works fine for me and I have dns, socks, pop3, smtp, http and https working through the proxies.
I also time manage my users with selected white listing and large blacklists.
I suspect you haveleft a nujmber of default profiles active in the proxy which will allow anybody through.
You must make sure that only the allowed people access the default proxy and all others go through the managed access proxy profile.

I requires considerable logic to be applied ataking into consideration filter rules and proxy rules.

My filter rules only allow NTP, FTP and anything above 1028 (UDP/TCP) during approved access times otherwise they dropped. Similar goes in the proxy.

Believe me it works very well. I have 2 sons who test my firewall logic to the extreme and I was waiting whether Astaro or Netgear gort their fixes out first. Astaro did and it is a much more flexible system, but requires lots of logic.

Ian M [:)]

THe problem is that I have a scoks proxy running.
If an application uses the socks proxy it still got though to the internet, 
which is what it is supposed to do.  Now I wanted to let pretty much everying to out on the socks proxy except to a particular network.  Since you cannot say block from internal to external becuase of the socks proxy I put in a rule that says.
Source External Address
Dest     Network I wanted to blcok
Service Any
Action  Reject.
This is put at the top of the rules.
As a result this rule was put in the USR_OUTPUT chain.
For some reason this rule was never processed therefore
I had to manually stick this rule in the OUTPUT chain
so it would get processed and block access to the network.

The Problem is known. 
The trouble with Astaro is, that the Proxys get free hand, so you can't block them with the normal packetfilters. 
Example:
You have multiple internal networks, and you don't want that the proxy is able to make a client connection from network 1 to a server in network 2. Don't know why this is still not included, also we requested the feature a few years ago in version 4 and 5.

Chris

The Problem is known. 
The trouble with Astaro is, that the Proxys get free hand, so you can't block them with the normal packetfilters. 
Example:
You have multiple internal networks, and you don't want that the proxy is able to make a client connection from network 1 to a server in network 2. Don't know why this is still not included, also we requested the feature a few years ago in version 4 and 5.

Chris